Defaults.Exposed › Glossary › Content-Security-Policy (CSP)

Content-Security-Policy (CSP)

Also known as: CSP, Content Security Policy

Egy szabálykönyv, amelyet az oldal ad a böngészőnek, pontosan meghatározva, milyen kód és tartalom futtatható – ez az elsődleges védekezés a támadók ellen, akik rosszindulatú szkripteket próbálnak az oldalaidra injektálni.

Mi ez?

A Content-Security-Policy, vagyis CSP, egy szabálylista, amelyet a weboldalad a látogató böngészőjének ad, meghatározva, hogy mely szkriptek, képek, stílusok és egyéb tartalmak tölthetők be és futhatnak – és ezzel impliciten blokkolja mindent, ami nincs rajta. Olyan, mintha vendéglistát adnál a böngészőnek, és azt mondanád, hogy mindenkit utasítson el, aki nincs rajta.

Miért fontos ez a vállalkozásodnak?

Az egyik leggyakoribb weboldaltámadás az, hogy rosszindulatú kódot csempésznek be egy oldalra – egy megjegyzésmezőn, egy űrlapon, egy feltört beépülő modulon vagy egy kompromittált harmadik fél widgetjén keresztül. Ha ez a kód lefut a látogató böngészőjében, képes bejelentkezési adatokat ellopni, munkameneteket eltéríteni, fizetési adatokat lehallgatni, vagy az oldalt megrongálni.

A CSP az ülésbiztonsági öv ehhez. Még ha egy támadó be is csempész kódot, a böngésző megtagadja minden olyan futtatását, ami nincs a jóváhagyott listádon – így a támadás elhal ahelyett, hogy végrehajtódna. Egy vállalkozás számára, amely az oldalán fizetéseket vagy bejelentkezéseket kezel, ez az egyik legnagyobb értékű védelem, amelyet hozzáadhatsz, és semmibe sem kerül.

Hogyan ellenőrzöd / mit tegyél?

Az ingyenes ellenőrzőnk megmondja, hogy az oldalad küld-e Content-Security-Policy-t, és jelzi, ha hiányzik. Mivel a CSP a te oldalad konkrét tartalmát sorolja fel, testre kell szabni – a CSP javítási útmutató végigvezet a gondos felépítésén, hogy úgy védje az oldaladat, hogy nem tör össze semmi olyat, amit törvényesen használsz. Beállítása ingyenes.

Want to fix this on your own domain? See the free guide →